1、Windows 2003 Server Web 服务器安全配置 超完整版发布时间:2011-6-3服务器安全防护,我们强烈推荐护卫神;护卫神一直专注服务器安全研究,自主开发入侵防护系统,从黑客入侵的每个环节进行拦截,让服务器和网站不再被入侵。详细介绍 第一步:一、先关闭不需要的端口 我比较小心,先关了端口。只开了 3389 21 80 1433(MYSQL)有些人一直说什么默认的 3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改 了密码设置为十五六位,我估计他要破上好几年,哈哈!办法: 本地连接-属性-Internet 协议(TCP/IP)-高级-选项-TCP/
2、IP 筛选-属性-把勾打上 然后添加你需要的端口即可。 PS 一句:设置完端口需要重新启动!当然大家也可以更改远程连接端口方法:Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp“PortNumber“=dword:00002683保存为.REG 文件双击即可!更改为 9859,当然大家也可以换别的端口, 直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!还有一点,在 2003 系统里,用
3、 TCP/IP 筛选里的端口过滤功能,使用 FTP 服务器的时候,只开放21 端口,在进行 FTP 传输的时候, FTP 特有的 Port 模式和 Passive 模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用 TCP/IP 过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在 2003 系统上增加的 windows 连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的 TCP/IP 过滤功能。所做 FTP 下载的用户看仔细点,表怪俺说俺写文章是垃圾. 如果要关闭不必要的端口,在system32driversetcservices 中有列表,记事本就可以打开的。
4、如果懒惰的话,最简单的方法是启用 WIN2003 的自身带的网络防火墙,并进行端口的改变。功能还可以!Internet 连接防火墙可以有效地拦截对 Windows 2003 服务器的非法入侵,防止非法远程主机对服务器的扫描,提高Windows 2003 服务器的安全性。同时,也可以有效拦截利用操作系统漏洞进行端口攻击的病毒,如冲击波等蠕虫病毒。如果在用 Windows 2003 构造的虚拟路由器上启用此防火墙功能,能够对整个内部网络起到很好的保护作用。二、关闭不需要的服务 打开相应的审核策略我关闭了以下的服务Computer Browser 维护网络上计算机的最新列表以及提供这个列表Task
5、scheduler 允许程序在指定时间运行Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务Removable storage 管理可移动媒体、驱动程序和库Remote Registry Service 允许远程注册表操作Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项IPSEC Policy Agent 管理 IP 安全策略以及启动 ISAKMP/OakleyIKE)和 IP 安全驱动程序Distributed Link Tracking Client 当文件在网络域的 NTFS 卷中移动时发送通知Com+
6、Event System 提供事件的自动发布到订阅 COM 组件Alerter 通知选定的用户和计算机管理警报Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息Telnet 允许远程用户登录到此计算机并运行程序把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。在“网络连接“ 里,把不需要的协议和服务都删掉,这里只安装了基本的 Internet 协议(TCP/IP),由于要控制带宽流量服务,
7、额外安装了 Qos 数据包计划程序。在高级 tcp/ip 设置里-“NetBIOS“设置“禁用 tcp/IP 上的 NetBIOS(S)“。在高级选项里,使用“Internet 连接防火墙“ ,这是 windows 2003 自带的防火墙,在 2000 系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec 的功能。在运行中输入 gpedit.msc 回车,打开组策略编辑器,选择计算机配置-Windows 设置-安全设置- 审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事
8、件,你需要根据情况在这二者之间做出选择。推荐的要审核的项目是:登录事件 成功 失败账户登录事件 成功 失败系统事件 成功 失败策略更改 成功 失败对象访问 失败目录服务访问 失败特权使用 失败三、磁盘权限设置1.系统盘权限设置C:分区部分:c:administrators 全部(该文件夹,子文件夹及文件)CREATOR OWNER 全部(只有子文件来及文件)system 全部(该文件夹,子文件夹及文件)IIS_WPG 创建文件 /写入数据(只有该文件夹)IIS_WPG(该文件夹,子文件夹及文件)遍历文件夹/ 运行文件列出文件夹/ 读取数据读取属性创建文件夹/ 附加数据读取权限c:Documen
9、ts and Settingsadministrators 全部(该文件夹,子文件夹及文件)Power Users (该文件夹,子文件夹及文件)读取和运行列出文件夹目录读取SYSTEM 全部(该文件夹,子文件夹及文件)C:Program Filesadministrators 全部(该文件夹,子文件夹及文件)CREATOR OWNER 全部(只有子文件来及文件)IIS_WPG (该文件夹,子文件夹及文件)读取和运行列出文件夹目录读取Power Users(该文件夹,子文件夹及文件)修改权限SYSTEM 全部(该文件夹,子文件夹及文件)TERMINAL SERVER USER (该文件夹,子文件
10、夹及文件)修改权限2.网站及虚拟机权限设置(比如网站在 E 盘)说明:我们假设网站全部在 E 盘 wwwsite 目录下,并且为每一个虚拟机创建了一个 guest 用户,用户名为 vhost1.vhostn 并且创建了一个 webuser 组,把所有的 vhost 用户全部加入这个 webuser 组里面方便管理。E: Administrators 全部(该文件夹,子文件夹及文件)E:wwwsite Administrators 全部(该文件夹,子文件夹及文件)system 全部(该文件夹,子文件夹及文件)service 全部(该文件夹,子文件夹及文件)E:wwwsitevhost1Admin
11、istrators 全部(该文件夹,子文件夹及文件)system 全部(该文件夹,子文件夹及文件)vhost1 全部(该文件夹,子文件夹及文件)3.数据备份盘数据备份盘最好只指定一个特定的用户对它有完全操作的权限。比如 F 盘为数据备份盘,我们只指定一个管理员对它有完全操作的权限。4.其它地方的权限设置请找到 c 盘的这些文件,把安全性设置只有特定的管理员有完全操作权限。下列这些文件只允许 administrators 访问5.删除 c:inetpub 目录,删除 iis 不必要的映射,建立陷阱帐号,更改描述。四、防火墙、杀毒软件的安装我见过的 Win2000/Nt 服务器从来没有见到有安装了
12、防毒软件的,其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。这样的话,“黑客” 们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库,我们推荐 mcafree 杀毒软件+blackice 防火墙五、SQL2000 SERV-U FTP 安全设置 SQL 安全方面1.System Administrators 角色最好不要超过两个2.如果是在本机最好将身份验证配置为 Win 登陆3.不要使用 Sa 账户,为其配置一个超级复杂的密码4.删除以下的扩展存储过程格式为:use mastersp_dropextendedproc 扩展存储过程名 xp_
13、cmdshell:是进入操作系统的最佳捷径,删除访问注册表的存储过程,删除Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvaluesXp_regread Xp_regwrite Xp_regremovemultistringOLE 自动存储过程,不需要删除Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetPropertySp_OAMethod Sp_OASetProperty Sp_OAStop5.隐藏 SQL Server、更改默认的 1433 端口右击实例
14、选属性-常规- 网络配置中选择 TCP/IP 协议的属性,选择隐藏 SQL Server 实例,并改原默认的 1433 端口serv-u 的几点常规安全需要设置下:选中“Block “FTP_bounce“attack and FXP“。什么是 FXP 呢?通常,当使用 FTP 协议进行文件传输时,客户端首先向 FTP 服务器发出一个“PORT“ 命令,该命令中包含此用户的 IP 地址和将被用来进行数据传输的端口号,服务器收到后,利用命令所提供的用户地址信息建立与用户的连接。大多数情况下,上述过程不会出现任何问题,但当客户端是一名恶意用户时,可能会通过在 PORT 命令中加入特定的地址信息,使
15、 FTP 服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器,但是如果 FTP 服务器有权访问该机器的话,那么恶意用户就可以通过 FTP 服务器作为中介,仍然能够最终实现与目标服务器的连接。这就是 FXP,也称跨服务器攻击。选中后就可以防止发生此种情况。六、IIS 安全设置IIS 的相关设置:删除默认建立的站点的虚拟目录,停止默认 web 站点,删除对应的文件目录 c:inetpub,配置所有站点的公共设置,设置好相关的连接数限制,带宽设置以及性能设置等其他设置。配置应用程序映射,删除所有不必要的应用程序扩展,只保留 asp,php,cgi,pl,aspx 应
16、用程序扩展。对于 php 和 cgi,推荐使用 isapi 方式解析,用 exe 解析对安全和性能有所影响。用户程序调试设置发送文本错误信息给户。对于数据库,尽量采用 mdb 后缀,不需要更改为 asp,可在 IIS 中设置一个 mdb 的扩展映射,将这个映射使用一个无关的 dll 文件如 C:WINNTsystem32inetsrvssinc.dll 来防止数据库被下载。设置 IIS 的日志保存目录,调整日志记录信息。设置为发送文本错误信息。修改 403 错误页面,将其转向到其他页,可防止一些扫描器的探测。另外为隐藏系统信息,防止 telnet 到 80 端口所泄露的系统版本信息可修改IIS
17、 的 banner 信息,可以使用 winhex 手工修改或者使用相关软件如 banneredit 修改。对于用户站点所在的目录,在此说明一下,用户的 FTP 根目录下对应三个文件佳,wwwroot,database,logfiles ,分别存放站点文件,数据库备份和该站点的日志。如果一旦发生入侵事件可对该用户站点所在目录设置具体的权限,图片所在的目录只给予列目录的权限,程序所在目录如果不需要生成文件(如生成 html 的程序)不给予写入权限。因为是虚拟主机平常对脚本安全没办法做到细致入微的地步,更多的只能在方法用户从脚本提升权限:ASP 的安全设置:设置过权限和服务之后,防范 asp 木马还
18、需要做以下工作,在 cmd 窗口运行以下命令:regsvr32/u C: WINNTSystem32wshom.ocxdel C:WINNTSystem32wshom.ocxregsvr32/u C: WINNTsystem32shell32.dlldel C:WINNTsystem32shell32.dll即可将 WScript.Shell, Shell.application, WScript.Network 组件卸载,可有效防止 asp 木马通过 wscript 或 shell.application 执行命令以及使用木马查看一些系统敏感信息。另法:可取消以上文件的 users 用户的权
19、限,重新启动 IIS 即可生效。但不推荐该方法。另外,对于 FSO 由于用户程序需要使用,服务器上可以不注销掉该组件,这里只提一下 FSO 的防范,但并不需要在自动开通空间的虚拟商服务器上使用,只适合于手工开通的站点。可以针对需要 FSO 和不需要 FSO 的站点设置两个组,对于需要 FSO 的用户组给予 c:winntsystem32scrrun.dll 文件的执行权限,不需要的不给权限。重新启动服务器即可生效。对于这样的设置结合上面的权限设置,你会发现海阳木马已经在这里失去了作用!PHP 的安全设置:默认安装的 php 需要有以下几个注意的问题:C:winntphp.ini 只给予 use
20、rs 读权限即可。在 php.ini 里需要做如下设置:Safe_mode=onregister_globals = Offallow_url_fopen = Offdisplay_errors = Offmagic_quotes_gpc = On 默认是 on,但需检查一遍open_basedir =web 目录disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen ,chmod默认设置 com.allow_dcom = true 修改为 false修改前要取消掉前面的;MySQL 安全设置:如
21、果服务器上启用 MySQL 数据库,MySQL 数据库需要注意的安全设置为:删除 mysql 中的所有默认用户,只保留本地 root 帐户,为 root 用户加上一个复杂的密码。赋予普通用户 updatedeletealertcreatedrop 权限的时候,并限定到特定的数据库,尤其要避免普通客户拥有对mysql 数据库操作的权限。检查 mysql.user 表,取消不必要用户的 shutdown_priv,reload_priv,process_priv 和 File_priv 权限,这些权限可能泄漏更多的服务器信息包括非 mysql 的其它信息出去。可以为 mysql 设置一个启动用户,
22、该用户只对 mysql 目录有权限。设置安装目录的 data 数据库的权限(此目录存放了 mysql 数据库的数据信息)。对于 mysql 安装目录给 users 加上读取、列目录和执行权限。Serv-u 安全问题:安装程序尽量采用最新版本,避免采用默认安装目录,设置好 serv-u 目录所在的权限,设置一个复杂的管理员密码。修改 serv-u 的 banner 信息,设置被动模式端口范围( 40014003)在本地服务器中设置中做好相关安全设置:包括检查匿名密码,禁用反超时调度,拦截“FTP bounce”攻击和 FXP,对于在30 秒内连接超过 3 次的用户拦截 10 分钟。域中的设置为:
23、要求复杂密码,目录只使用小写字母,高级中设置取消允许使用 MDTM 命令更改文件的日期。更改 serv-u 的启动用户:在系统中新建一个用户,设置一个复杂点的密码,不属于任何组。将 servu 的安装目录给予该用户完全控制权限。建立一个 FTP 根目录,需要给予这个用户该目录完全控制权限,因为所有的 ftp 用户上传,删除,更改文件都是继承了该用户的权限,否则无法操作文件。另外需要给该目录以上的上级目录给该用户的读取权限,否则会在连接的时候出现 530 Not logged in, home directory does not exist.比如在测试的时候 ftp 根目录为 d:soft,必
24、须给 d 盘该用户的读取权限,为了安全取消 d 盘其他文件夹的继承权限。而一般的使用默认的 system 启动就没有这些问题,因为system 一般都拥有这些权限的。七、其它1.隐藏重要文件 /目录可以修改注册表实现完全隐藏:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Current-VersionExplorerAdvancedFolderHi-ddenSHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由 1 改为 0 2.启动系统自带的 Internet 连接防火墙,在设置服务选项中勾选 Web 服务器; 3.防止 SYN
25、洪水攻击: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建 DWORD 值,名为 SynAttackProtect,值为 2 EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1 EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000 PerformRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD
26、 04. 禁止响应 ICMP 路由通告报文: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface 新建 DWORD 值,名为 PerformRouterDiscovery 值为 0 5. 防止 ICMP 重定向报文的攻击: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 将 EnableICMPRedirects 值设为 0 6. 不支持 IGMP 协议: HKEY_LOCAL_MACHINESYS
27、TEMCurrentControlSetServicesTcpipParameters 新建 DWORD 值,名为 IGMPLevel 值为 07.修改终端服务端口:运行 regedit,找到HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Terminal Server Wds rdpwd Tds tcp,看到右边的 PortNumber 了吗?在十进制状态下改成你想要的端口号吧,比如 7126 之类的,只要不与其它冲突即可。 第二处 HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control
28、Terminal Server WinStations RDP-Tcp,方法同上,记得改的端口号和上面改的一样就行了。8.禁止 IPC 空连接:cracker 可以利用 net use 命令建立空连接,进而入侵,还有 net view,nbtstat 这些都是基于空连接的,禁止空连接就好了。打开注册表,找到Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 把这个值改成”1”即可。9.更改 TTL 值:cracker 可以根据 ping 回的 TTL 值来大致判断你的操作系统,如: TTL=107(WINNT); T
29、TL=108(win2000 ); TTL=127 或 128(win9x); TTL=240 或 241(linux ); TTL=252(solaris); TTL=240(Irix); 实际上你可以自己更改的:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值 128)改成一个莫名其妙的数字如 258,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定哦。10. 删除默认共享:有人问过我一开机就共享所有盘,改回来以后,重启又变成了
30、共享是怎么回事,这是 2K 为管理而设置的默认共享,必须通过修改注册表的方式取消它:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters:AutoShareServer 类型是 REG_DWORD 把值改为 0 即可11. 禁止建立空连接: 默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接: Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成”1”即可。12
31、.禁用 TCP/IP 上的 NetBIOS网上邻居- 属性- 本地连接 -属性-Internet 协议(TCP/IP)属性-高级 -WINS 面板-NetBIOS 设置-禁用TCP/IP 上的 NetBIOS。这样 cracker 就无法用 nbtstat 命令来读取你的 NetBIOS 信息和网卡 MAC 地址了。13. 账户安全首先禁止一切账户,除了你自己,呵呵。然后把 Administrator 改名。我呢就顺手又建了个Administrator 账户,不过是什么权限都没有的那种,然后打开记事本,一阵乱敲,复制,粘贴到“ 密码”里去,呵呵,来破密码吧!破完了才发现是个低级账户,看你崩溃不
32、?创建 2 个管理员用帐号 虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些日常事物,另一个拥有 Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作,以方便管理14.更改 C:WINDOWSHelpiisHelpcommon404b.htm 内容改为这样,出错了自动转到首页。15.本地安全策略和组策略的设置,如果你在设置本地安全策略时设置错了,可以这样恢复成它的默认值打开 %SystemRoot%Security 文件夹,创建一个 “OldSecurity
33、“子目录,将%SystemRoot%Security 下所有的.log 文件移到这个新建的子文件夹中在%SystemRoot%Securitydatabase下找到“Secedit.sdb“安全数据库并将其改名,如改为“Secedit.old“启动“安全配置和分析“MMC 管理单元:“开始“-“ 运行“-“MMC“,启动管理控制台,“添加/删除管理单元“ ,将“安全配置和分析“管理单元添加上右击“安全配置和分析“-“打开数据库“,浏览“C:WINNTsecurityDatabase“文件夹,输入文件名“secedit.sdb“,单击“打开“当系统提示输入一个模板时,选择“Setup Secur
34、ity.inf“,单击“打开“ ,如果系统提示“拒绝访问数据库“,不管他,你会发现在“C:WINNTsecurityDatabase“子文件夹中重新生成了新的安全数据库,在“C:WINNTsecurity“子文件夹下重新生成了 log 文件,安全数据库重建成功。16.禁用 DCOM:运行中输入 Dcomcnfg.exe。 回车, 单击“ 控制台根节点”下的 “组件服务”。 打开“ 计算机”子文件夹。对于本地计算机,请以右键单击“我的电脑”,然后选择“ 属性”。选择“默认属性”选项卡。清除“ 在这台计算机上启用分布式 COM”复选框。第二步:尽管 Windows 2003 的功能在不断增强,但是
35、由于先天性的原因,它还存在不少安全隐患,要是不将这些隐患“堵住”,可能会给整个系统带来不必要的麻烦;下面笔者就介绍 Windows2003 中不常见的安全隐患的防堵方法,希望能对各位带来帮助!堵住自动保存隐患Windows 2003 操作系统在调用应用程序出错时,系统中的 Dr. Watson 会自动将一些重要的调试信息保存起来,以便日后维护系统时查看,不过这些信息很有可能被黑客“瞄上” ,一旦瞄上的话,各种重要的调试信息就会暴露无疑,为了堵住 Dr. Watson 自动保存调试信息的隐患,我们可以按如下步骤来实现:1、打开开始菜单,选中“运行”命令,在随后打开的运行对话框中,输入注册表编辑命
36、令“ergedit”命令,打开一个注册表编辑窗口;2、在该窗口中,用鼠标依次展开HKEY_local_machinesoftwareMicrosoftWindowsdowsNTCurrentVersionAeDebug 分支,在对应 AeDebug 键值的右边子窗口中,用鼠标双击 Auto 值,在弹出的参数设置窗口中,将其数值重新设置为“0”,3、打开系统的 Windows 资源管理器窗口,并在其中依次展开 Documents and Settings 文件夹、All Users 文件夹、 Shared Documents 文件夹、DrWatson 文件夹,最后将对应 DrWatson 中的U
37、ser.dmp 文件、Drwtsn32.log 文件删除掉。完成上面的设置后,重新启动一下系统,就可以堵住自动保存隐患了。堵住资源共享隐患为了给局域网用户相互之间传输信息带来方便,Windows Server 2003 系统很是“ 善解人意”地为各位提供了文件和打印共享功能,不过我们在享受该功能带来便利的同时,共享功能也会“引狼入室” ,“大度” 地向黑客们敞开了不少漏洞,给服务器系统造成了很大的不安全性;所以,在用完文件或打印共享功能时,大家千万要随时将功能关闭哟,以便堵住资源共享隐患,下面就是关闭共享功能的具体步骤:1、执行控制面板菜单项下面的“网络连接”命令,在随后出现的窗口中,用鼠标右
38、键单击一下“ 本地连接” 图标;2、在打开的快捷菜单中,单击“属性”命令,这样就能打开一个“Internet 协议(TCP/IP)” 属性设置对话框;3、在该界面中取消“Microsoft 网络的文件和打印机共享” 这个选项;4、如此一来,本地计算机就没有办法对外提供文件与打印共享服务了,这样黑客自然也就少了攻击系统的“通道”。堵住远程访问隐患在 Windows2003 系统下,要进行远程网络访问连接时,该系统下的远程桌面功能可以将进行网络连接时输入的用户名以及密码,通过普通明文内容方式传输给对应连接端的客户端程序;在明文帐号传输过程中,实现“安插” 在网络通道上的各种嗅探工具,会自动进入“
39、嗅探” 状态,这个明文帐号就很容易被“俘虏” 了;明文帐号内容一旦被黑客或其他攻击者另谋他用的话,呵呵,小心自己的系统被“疯狂” 攻击吧!为了杜绝这种安全隐患,我们可以按下面的方法来为系统“加固”:1、点击系统桌面上的“开始”按钮,打开开始菜单;2、从中执行控制面板命令,从弹出的下拉菜单中,选中“系统”命令,打开一个系统属性设置界面;3、在该界面中,用鼠标单击“远程”标签;4、在随后出现的标签页面中,将“允许用户远程连接到这台计算机”选项取消掉,这样就可以将远程访问连接功能屏蔽掉,从而堵住远程访问隐患了。堵住用户切换隐患Windows 2003 系统为我们提供了快速用户切换功能,利用该功能我们
40、可以很轻松地登录到系统中;不过在享受这种轻松时,系统也存在安装隐患,例如我们要是执行系统“开始” 菜单中的“注销” 命令来,快速“ 切换用户”时,再用传统的方式来登录系统的话,系统很有可能会本次登录,错误地当作是对计算机系统的一次暴力“袭击” ,这样 Windows2003 系统就可能将当前登录的帐号当作非法帐号,将它锁定起来,这显然不是我们所需要的;不过,我们可以按如下步骤来堵住用户切换时,产生的安全隐患:在 Windows 2003 系统桌面中,打开开始菜单下面的控制面板命令,找到下面的“ 管理工具”命令,再执行下级菜单中的“计算机管理”命令,找到“ 用户帐户”图标,并在随后出现的窗口中单
41、击“更改用户登录或注销的方式”;在打开的设置窗口中,将“使用快速用户切换” 选项取消掉就可以了。堵住页面交换隐患Windows 2003 操作系统即使在正常工作的情况下,也有可能会向黑客或者其他访问者泄漏重要的机密信息,特别是一些重要的帐号信息。也许我们永远不会想到要查看一下,那些可能会泄漏隐私信息的文件,不过黑客对它们倒是很关心的哟!Windows 2003 操作系统中的页面交换文件中,其实就隐藏了不少重要隐私信息,这些信息都是在动态中产生的,要是不及时将它们清除,就很有可能成为黑客的入侵突破口;为此,我们必须按照下面的方法,来让 Windows 2003 操作系统在关闭系统时,自动将系统工
42、作时产生的页面文件全部删除掉:1、在 Windows 2003 的“ 开始 ”菜单中,执行“运行”命令,打开运行对话框,并在其中输入“Regedit”命令,来打开注册表窗口;2、在该窗口的左边区域中,用鼠标依次单击HKEY_local_machinesystemcurrentcontrolsetcontrolsessionmanagermemory management 键值,找到右边区域中的 ClearPageFileAtShutdown 键值,并用鼠标双击之,在随后打开的数值设置窗口中,将该 DWORD 值重新修改为“1”;3、完成设置后,退出注册表编辑窗口,并重新启动计算机系统,就能让上面的设置生效了。做了以上措施,如果您觉得还不够安全,建议安装护卫神软件,专业的服务器防黑打黑工具,爽得很,让你远离服务器被黑烦扰。
